EN
EN

Draytek Vigor İle FortiGate Arasında VPN Nasıl Yapılır?

26 Aralık 2017


Fortigate Vigor Modem Arasında Ipsec VPN

Bu makalede FortiGate Firewall ve Drytek Vigor Modem arasında IPSec VPN tünel konfigürasyon anlatmaktadır.

Fortigate IPSec VPN Konfigürasyon

“VPN” sekmesi içinde bulunan “IPsec Tunnels” seçeneğine altında bulunan sayfada “Create New” ile yeni bir ipsec vpn oluşturulur.

 

Açılan sayfada vpn için bir isim belirleyip “Template Type” olarak “Custom” ile devam ediyoruz.

 

Gelen sayfanın “Network” konfigürasyon kısmında “IP Address(0.0.0.0)” bölümünü vpn yapmak istediğimiz lokasyonun public ipsini yazıyoruz. “Interface” bölümünde ise bizim internetimizin bağlı olduğu interfacemizi seçiyoruz. “NAT Traversal” “Enable”,“Dead Peer Detection” “On Demand” olmalı. “Authentication” kısmında “Pre-shared key” bölümüne her iki cihazda da gireceğimiz kendi belirlediğimiz en az 6 karakterli bir key giriyoruz. “Mode”,“Aggressive”seçilmeli. “Accept Types” “Any Peed ID” olarak bırakılmalıdır.

 

 

“Phase 1 Proposal” ayarlarında “Encryption” olarak “3DES – SHA1 ve 3DES – MD5”,”Diffie – Helman Group” “2” ve “Key Lifetime(seconds)” “28800” olarak ayarlanmalı.

“XAUTH” “Disabled” kalmalı. “Local Address” bölümünde Fortigate üzerin de vpn için kullanılacak adres bloğunu,”Remote Address” bölümünde ise “Vigor” üzerinde vpn için kullanılacak adres bloğunuz yazmamız gerekiyor. “Advanced” ile Phase 2 ayarlarının geri kalan kısmını yapabiliriz.

Temel faz 2 ayarları IPSec faz 2 parametrelerini faz 1 konfgürasyonu ile birleştirir ve VPN tünelin uzak uç noktasını belirler.

“Phase 2 Proposal” kısmında “Encryption” olarak “3DES – SHA1 ve 3DES – MD5” olarak ayarlanmalı.

“Enable Replay Detection” ve “Enable Perfect Forward Secrecy(PFS)” disable olmalı.Seconds 3600 olarak ayarlanmalı.

Vpn ayarlarından sonra static route ve policy yazmamız gerekiyor.

“Network Static Routes” “Create New” ile yeni bir route oluşturuyoruz.

“Destination” kısmını Vigor arkasında ki ip bloğu ile dolduruyoruz(Örnek; 192.168.13.0/24).

“Device” kısmında ise oluşturmuş olduğumuz vpn’i seçiyoruz.

 

Sırada adres tanımlamaları var.

“Policy & Objects -> Address” “Create New” ile yeni bir adres oluşturabiliriz.

“Subnet/IP Range” vpn ile erişmek istediğimiz ip/ip bloğunu yazıyoruz.

 

“Subnet/IP Range” Fortigate’ye bağlı olan ip/ip bloğunu yazıyoruz.

 

Bütün ayarlarımızdan sonra vpn için policy oluşturabiliriz.

“Policy Objects IPv4” “Create New” ile yeni bir policy oluşturabiliriz.

Fortigate üzerinde tanımlı networkün vpn’e erişmesi için yazılacak policy:

“Incoming Interface” vpn içine giren networkün bağlı olduğu interface.

“Outgoing Interface” vpn’i seçiyoruz.

“Source” bu kısımda Internal Interface bağlı olan network adresi/adresleri seçilir. “All” da seçilebilir ya da adres oluşturup oluşturduğumuz adreside(local_network) seçebiliriz.

“Destination” bu kısımda “All” da seçilebilir ya da adres oluşturup oluşturduğumuz adreside(remote_network) seçebiliriz.

“Action” kısmında “ACCEPT” seçilir.

 OK” ile policy tamamlanır.

“NAT” disable olmalı.

Vpn üzerinden gelen networkün Fortigate’ye erişmesi için yazılacak policy:

“Incoming Interface” vpn’i seçiyoruz.

“Outgoing Interface” vpn içine giren networkün bağlı olduğu interface.

“Source” bu kısımda Internal Interface bağlı olan network adresi/adresleri seçilir. “All” da seçilebilir ya da adres oluşturup oluşturduğumuz adreside(remote_network) seçebiliriz.

“Destination” bu kısımda “All” da seçilebilir ya da adres oluşturup oluşturduğumuz adreside(local_network) seçebiliriz.

“Action” kısmında “ACCEPT” seçilir.

 OK” ile policy tamamlanır.

“NAT” disable olmalı.

Drytek Vigor Konfigürasyonu:

Web arayüzüne girdikten sonra;

“VPN and Remote Access -> Lan to Lan” sekmesine geliyoruz.

Farketmeksizin 32 sayıdan herhangi birine tıklıyoruz.

1.Common Settings ;“Profile Name” kısmında vpn’e isim veriyoruz. Hemen altında bulunan “Enable this profile” kutucuğunu işaretliyoruz. “Call Direction” “Dial-out” ve “Always on” kutucuğu işaretli olmalıdır.

2.Dial-Out Settings;IPsec Tunnel kutucuğunu işaretleyip “Server IP/Host Name for VPN” kısmına ise Fortigate’nin public ipsini yazıyoruz. “IKE Pre-Shared Key” kısmını Fortigate’ye yazdığımız pre-shared key’i giriyoruz. IPsec Security Method’u “High(ESP)” olarak işaretleyip “3DES with Authentication” seçiyoruz. “Advanced” ile diğer ayarlarını yapıyoruz. Açılan sayfada “Aggressive mode” seçiyoruz.

 

3. Dial-In Settings;Kısmında değişiklik yapmaya gerek yok.

4.TCP/IP Network Settings;”My WAN IP” ve “Remote Gateway IP” kısımlarında değişiklik yapmaya gerek yok. “Remote Network IP” kısmında ise Fortigate arkasında bulunan local ip bloğunu yazıyoruz(örneğin:192.168.13.0). “Remote Network Mask” kısmında ise  Fortigate arkasında bulunan local ip bloğun netmaskını yazıyoruz(255.255.255.0). “Local Network IP” kısmında ise Vigor arkasında bulunan local ip bloğunu yazıyoruz(örneğin:192.168.25.0). “Remote Network Mask” kısmında ise  Vigor arkasında bulunan local ip bloğun netmaskını yazıyoruz(255.255.255.0)

 

“VPN and Remote Access Connection Management” sekmesinde vpnlerin durumu izlenebilir.